Software Engineer English & Software Engineering Blog - Sean

Windbg로 분석할 수 있도록 덤프 파일을 생성해 보자.

위 파일을 다운로드하고 압축을 풀어준다.

Crash 버튼을 클릭하면 블루 스크린이 나타나고 재부팅 되니 열려있는 작업은 모두 종료한다.

※ 참고

Generate a kernel or complete crash dump

도스박스에 디버거를 붙여 실행해 보자.

위 파일을 다운 받고 압축을 풀어 도스박스가 설치된 폴더에 저장한다. (도스박스 버전은 0.74-3이다)

명령어를 실습해 보자. 디버거가 아닌 도스박스 메인 창에서 Alt+Pause키를 누른다. 디버거가 활성화 되면 아래 명령을 입력한다.

memdump 0000:0010 20

※ 참고

Understanding the DOSBox debug screen

Guide to the DOSBox debugger

동적으로 할당한 힙 메모리의 누수를 탐지해 보자.

/i: Image file settings

+ust: Creates a run-time stack trace database in the address space of a particular process (image file mode) or all processes (system-wide). (Create user mode stack trace database flag)

-p: specify the PID
-f: specify the name and location of the output file for the heap dump

8회의 동작으로 320바이트의 메모리가 할당되고 해제되지 않았음을 확인 할 수 있다. 메모리 누수로 의심되는 코드는 CLabAppDlg 클래스의 OnMemoryleakBtn 함수다.

파일이나 폴더를 삭제하려고 할 때 아래와 같이 'XXX에서 열려 있어 작업을 완료 할 수 없다'는 메세지가 나오는 경우가 있다.

물론 이런 경우 대부분 엑셀을 종료하면 간단히 해결 할 수 있지만 간혹 엑셀이 종료되었는데도 파일을 삭제할 수 없는 상황이 발생하기도 한다. 파일(폴더)의 핸들을 어디선가 다른 프로세스가 잡고 있기 때문이다.

간단히 비슷한 상황을 만들어 해결책을 알아보자.

물론 우리는 메모장(notepad)이 파일을 잡고 있다는걸 알지만 여기서는 메모장의 상황은 모르는걸로 가정하자.

'target' 문자열이 들어가는 이름의 핸들을 잡고 있는 프로세스를 모두 찾아준다. 위 예에선 우리가 삭제하고자 하는 'G:\Test\Target'을 notepad.exe 프로세스가 잡고 있는걸 확인 할 수 있다. 클릭한다.

어떤 프로세스가 핸들을 잡고 있는지 알아냈으므로 그 프로세스를 종료시키거나 다른 작업을 통해 핸들을 반환하도록 할 수 있다.

※ 참고

Process Explorer

프로그램의 어떤 함수가 컴퓨터 CPU 자원을 독점하는지 찾아보자.

유저 모드 애플리케이션이 충돌한 후 덤프를 수집하고 저장하도록 해 보자.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps

※ 참고

Collecting User-mode dumps

x32/x64 디버거에서 심볼파일(pdb)을 불러오자.

symload module_name, path

만약 프로그램 파일이 존재하는 디렉토리에 심볼파일이 같이 존재하면 자동으로 로드된다.

※ 참고

symload/loadsym

symunload/unloadsym

WinDbg 메모리 윈도우에서 변수를 확인해 보자.

Address 박스에 변수명(MyApp!g_dwGlobal)을 입력하면 변수값(0x5678)이 주소로 인식된다.

주소 연산자(&)를 붙이면 변수 주소가 주소로 인식된다.